Политика обработки персональных данных

(утв. Приказом генерального директора ООО «НТА-Пром» от 08.12.2023 г. № 12-ОД)

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (п. 2 ч. 1 и ч. 2 ст. 18.1) и излагает систему основных принципов, применяемых в отношении обработки персональных данных.

1.2. Настоящий документ определяет политику Общества с ограниченной ответственностью «НТА-Пром» (ООО «НТА-Пром», Оператор) в отношении обработки персональных данных и определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в ООО «НТА-Пром».

1.3. Важным условием реализации целей деятельности Оператора является обеспечение необходимого и достаточного уровня информационной безопасности персональных данных (ПДн).

1.4. Политика распространяется на персональные данные, полученные как до, так и после вступления в силу настоящей Политики.

1.5. Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных.

1.6. Политика является общедоступной и подлежит размещению на официальном сайте ООО «НТА-Пром» или Оператор обеспечивает неограниченный доступ к настоящему документу иным образом.

1.1. Основные понятия, используемые в Политике

Основные понятия, используемые в настоящей Политике, соответствуют основным понятиям, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • конфиденциальность персональных данных – обязательное для выполнения Оператором и иным лицом, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
  • оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Цели обработки персональных данных

2.1. Обработка персональных данных в ООО «НТА-Пром» ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. ООО «НТА-Пром» осуществляет обработку персональных данных в следующих целях:

  • ведение кадрового и бухгалтерского учета;
  • реализация программ повышения лояльности сотрудников;
  • подбор персонала (соискателей) на вакантные должности;
  • обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением;
  • продвижение товаров, работ, услуг на рынке;
  • ведение переговоров, подготовка, заключение, изменение, исполнение и прекращение договоров с контрагентами (клиентами).

3. Категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных

3.1. ООО «НТА-Пром» определяет для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, а также категории субъектов, персональные данные которых обрабатываются. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки, не допускается обработка избыточных персональных данных.

3.2. С целью ведения кадрового и бухгалтерского учета Оператор осуществляет обработку персональных данных следующих субъектов:

  • работники;
  • родственники работников;
  • уволенные работники;
  • выгодоприобретатели по договорам;
  • Субъект персональных данных, предоставивший согласие на трансграничную передачу персональных данных;
  • лица, в пользу которых осуществляются взыскания по решению суда;
  • физические лица (в т.ч. самозанятые) – стороны договоров ГПХ.

Перечень персональных данных, обрабатываемых ООО «НТА-Пром» в рамках данной цели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; размер одежды и обуви, фотографическое изображение лица, иные сведения, содержащиеся в личной карточке работника, а также сведения о состоянии здоровья, относящиеся к специальным категориям персональных данных.

3.3. С целью реализации программ повышения лояльности Оператор осуществляет обработку персональных данных работников.

Перечень персональных данных, обрабатываемых ООО «НТА-Пром» в рамках данной цели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес регистрации; номер телефона; СНИЛС; данные документа, удостоверяющего личность; должность; данные документов, подтверждающих квалификацию.

3.4. С целью подбора персонала на вакантные должности Оператор осуществляет обработку персональных данных соискателей.

Перечень персональных данных, обрабатываемых ООО «НТА-Пром» в рамках данной цели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; семейное положение; пол; адрес электронной почты; номер телефона; гражданство; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; дополнительные сведения, представленные в резюме, а также сведения о состоянии здоровья, относящиеся к специальным категориям персональных данных.

3.5. С целью обеспечения прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением Оператор осуществляет обработку персональных данных следующих субъектов:

  • учащиеся;
  • студенты.

Перечень персональных данных, обрабатываемых ООО «НТА-Пром» в рамках данной цели: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; номер телефона; данные документа, удостоверяющего личность; данные о месте учебы, направление обучения (специальность).

3.6. С целью продвижения товаров, работ, услуг на рынке Оператор осуществляет обработку персональных данных следующих субъектов:

  • контрагенты;
  • представители контрагентов;
  • посетители;
  • работники;
  • посетители сайта.

Перечень персональных данных, обрабатываемых ООО «НТА-Пром» в рамках данной цели: фамилия, имя, отчество; адрес электронной почты; номер телефона; должность; почтовый адрес, сведения, предоставляемые веб-аналитикой, место работы.

3.7. С целью ведение переговоров, подготовки, заключения, изменения, исполнения и прекращения договоров с контрагентами (клиентами*) Оператор осуществляет обработку персональных данных следующих субъектов:

  • контрагенты;
  • представители контрагентов;
  • посетители;
  • работники;
  • посетители сайта.

Перечень персональных данных, обрабатываемых ООО «НТА-Пром» в рамках данной цели: фамилия, имя, отчество; адрес электронной почты; номер телефона; данные документа, удостоверяющего личность; должность; иные данные, указанные в учредительных документах или доверенностях, данные документа, подтверждающего квалификацию, ИНН (для ИП).

4. Правовые основания обработки персональных данных

4.1. Обработка персональных данных в ООО «НТА-Пром» осуществляется в соответствии со следующими основными правовыми актами:

  • Бюджетный кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон РФ от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;
  • Федеральный закон РФ от 16.07.1999 г. № 165-ФЗ «Об основах обязательного социального страхования»;
  • Федеральный закон РФ от 02.10.2007 г. № 229-ФЗ «Об исполнительном производстве»;
  • Федеральный закон РФ от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 28.12.2013 г. № 426-ФЗ «О специальной оценке условий труда»;
  • Устав ООО «НТА-Пром»;
  • Трудовые договоры;
  • Договоры с контрагентами;
  • Согласия на обработку персональных данных.

5. Порядок и условия обработки персональных данных

5.1. При обработке персональных данных Оператором обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

5.2. Персональные данные поступают ООО «НТА-Пром» непосредственно от субъекта ПДн или от лиц, не являющихся субъектами ПДн. При этом Оператор выполняет все требования к осуществлению обработки таких данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также обеспечивает безопасность полученных персональных данных.

5.3. Обработка ПДн Оператором осуществляется только с согласия субъектов ПДн за исключением следующих случаев:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.

5.4. Режим обработки предусматривает следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

5.5. Персональные данные обрабатываются Оператором как с помощью средств вычислительной техники, так и без использования таких средств и могут быть представлены как на бумажных, так и на электронных носителях. При этом Оператор выполняет все требования к автоматизированной и неавтоматизированной обработке ПДн, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также Постановлением Правительства от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.6. ООО «НТА-Пром» не передает сведения, содержащие персональные данные граждан третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

5.7. По мотивированному запросу исключительно в целях выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы:

  • в судебные органы в связи с осуществлением правосудия;
  • в органы государственной безопасности;
  • в органы прокуратуры;
  • органы внутренних дел;
  • в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

5.8. Трансграничная передача ПДн работников осуществляется с их согласия на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных в целях:

  • регистрации работников Оператора в качестве участников международных выставок;
  • оформления договорных отношений с зарубежными партнерами.

5.9. ООО «НТА-Пром» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. В договоре должны быть определены: перечень персональных данных; перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению Оператора; цели обработки персональных данных. Кроме этого, в договоре должны быть установлены следующие обязанности для лица, осуществляющего обработку персональных данных по поручению Оператора: соблюдать конфиденциальность персональных данных, а также требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона «О персональных данных»; по запросу Оператора персональных данных в течение срока действия поручения, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со статьей 6 Федерального закона «О персональных данных»; обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».

5.10. В целях внутреннего информационного обеспечения ООО «НТА-Пром» может создавать справочники, адресные книги и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.

5.11. Хранение персональных данных субъектов персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами ООО «НТА-Пром»:

  • персональные данные, содержащиеся в приказах по личному составу (о приеме, о переводе, об увольнении, об оплате труда, об установлении надбавок, о поощрении, об отпусках по уходу за ребенком, об отпусках без сохранения заработной платы), подлежат хранению в отделе по работе с персоналом и бухгалтерии в зависимости от вида документа в течение двух лет, с последующим формированием и передачей указанных документов на архивное хранение в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет или 75 лет – если оформлены до 2003 года;
  • персональные данные, содержащиеся в личных делах работников Оператора, хранятся в отделе по работе с персоналом в течение трех лет, с последующим формированием и передачей указанных документов на архивное хранение в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет или 75 лет – если оформлены до 2003 года;
  • персональные данные, содержащиеся в приказах о предоставлении отпусков (за исключение отпусков по уходу за ребенком и отпусков без сохранения заработной платы), о командировках работников Оператора, подлежат хранению в бухгалтерии в течение пяти лет с последующим уничтожением;
  • персональные данные, содержащиеся в документах о дисциплинарных взысканиях, документах периодических медицинских осмотров работников Оператора, подлежат хранению в отделе по работе с персоналом в течение трех лет с последующим уничтожением;
  • персональные данные контрагентов и их представителей, клиентов, содержащиеся в договорах (иных документах договорного пакета) подлежат хранению в бухгалтерии в течение пяти лет с последующим уничтожением;
  • персональные данные соискателей на замещение вакантных должностей, подлежат уничтожению в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных (прием/отказ в приеме на работу);
  • персональные данные студентов, учащихся подлежат хранению в течение периода прохождения практики и 30 дней после её окончания с последующим уничтожением;
  • персональные данные посетителей сайтов подлежат хранению до достижения целей обработки и в течение 30 дней после их достижения с последующим уничтожением.

5.12. Оператором обеспечивается раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.

6. Актуализация, исправление, удаление и уничтожение персональных данных

6.1. В случае выявления неправомерной обработки ПДн при обращении (по запросу) субъекта (или его представителя) либо уполномоченного органа по защите прав субъектов ПДн Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, которые относятся к данному субъекту, или обеспечивает их блокирование (если обработка персональных данных осуществляется третьим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

6.2. В случае выявления неточных персональных данных при обращении (по запросу) субъекта (или его представителя) или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, которые относятся к данному субъекту, или обеспечивает их блокирование (если обработка персональных данных осуществляется третьим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.

6.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом (или его представителем) либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется третьим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором (или лицом, действующим по его поручению), Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных. Если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта (или его представителя), а также уполномоченный орган по защите прав субъектов персональных данных (в случае, если обращение (запрос) было направлено указанным органом).

6.5. В случае достижения цели обработки персональных данных Оператор осуществляет прекращение обработки персональных данных (или обеспечивает ее прекращение) и уничтожает персональные данные (или обеспечивает их уничтожение) в срок, не превышающий тридцати дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект, и иным соглашением между Оператором и субъектом, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г. или другими федеральными законами.

6.6. В случае отзыва субъектом согласия на обработку его персональных данных Оператор осуществляет прекращение их обработки или обеспечивает прекращение такой обработки. В случае если сохранение персональных данных более не требуется для целей обработки персональных данных, Оператор уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект, иным соглашением между Оператором и субъектом либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г. или другими федеральными законами. Оператор вправе продолжить обработку персональных данных субъекта при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 г.

6.7. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 г. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.8. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7. Права субъектов персональных данных, обрабатываемых Оператором

7.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

  • подтверждение факта обработки ПДн Оператором;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые Оператором способы обработки ПДн;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ «О персональных данных»;
  • иные сведения, предусмотренные федеральными законами.

7.2. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Сведения, касающиеся обработки ПДн субъекта, предоставляются ему Оператором в доступной форме, и не содержат ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

7.4. ПДн предоставляются субъекту или его законному представителю при их обращении или поступлении соответствующего запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора, дата заключения договора, условное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.5. Субъект ПДн вправе потребовать у Оператора форму запроса информации, касающейся обработки ПДн субъекта. Для получения формы запроса субъекту необходимо обратиться по телефону +7 (495) 363-63-00 или по адресу электронной почты legal@nta-prom.ru.

7.6. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

7.7. Сведения, касающиеся обработки ПДн субъекта, предоставляются ему или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя в течение десяти рабочих дней с момента обращения, либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор предоставляет ответ субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

7.8. В случае если сведения, касающиеся обработки ПДн субъекта, а также если обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

7.9. Субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в целях получения сведений, касающихся обработки ПДн субъекта, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцати дней после первоначального обращения, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися обработки ПДн субъекта, должен содержать обоснование направления повторного запроса.

7.10. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

7.11. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. Обязанности субъекта ПДн в целях обеспечения достоверности его персональных данных

8.1. До начала обработки персональных данных субъект обязан предоставлять Оператору достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации.

8.2. При необходимости в случае изменения персональных данных (смена паспорта, места жительства и т.д.) сообщать об этом Оператору.

9. Исполнение обязанностей Оператора персональных данных

9.1. Оператор исполняет обязанности, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в том числе:

  • сообщает субъекту ПДн или его представителю информацию, касающуюся обработки его ПДн, или предоставляет мотивированные отказы в предоставлении такой информации в форме и случаях и в сроки, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку в предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» случаях;
  • вносит необходимые изменения в ПДн, уничтожает их, уведомляет субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы, в срок и в случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • уведомляет уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, в случае изменения сведений, касающихся обработки ПДн субъектов, а также в случае прекращения обработки ПДн в форме, в срок и случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • сообщает в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • уведомляет уполномоченный орган по защите прав субъектов ПДн в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
  • в случае достижения цели обработки ПДн обеспечивает прекращение обработки ПДн и их уничтожение в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

9.2. Оператором для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие необходимые и достаточные меры:

  • назначен ответственный за организацию обработки ПДн;
  • изданы документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применены правовые, организационные и технические меры по обеспечению безопасности ПДн;
  • осуществляется внутренний контроль (аудит) соответствия обработки ПДн требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политики, локальных актов Оператора;
  • проведена оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований федерального законодательства о ПДн, произведено соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов;
  • работники Оператора, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов по вопросам обработки ПДн;
  • определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных Оператора, разработаны модели угроз безопасности информации в информационных системах;
  • применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
  • исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;
  • применяются прошедшие в установленном порядке процедуры оценки соответствия средств защиты информации;
  • обеспечивается учет машинных носителей персональных данных;
  • принимаются меры, направленные на обнаружение фактов несанкционированного доступа к персональным данным, и по реагированию на соответствующие инциденты;
  • обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных;
  • осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. Лица, виновные в нарушении требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», во исполнение которого разработана настоящая Политика, несут гражданско-правовую, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.